Azure-beveiligingsbasislijn voor Azure Kubernetes Service

Deze beveiligingsbasislijn past richtlijnen van azure Security Benchmark versie 1.0 toe op Azure Kubernetes. De Azure Security-benchmark biedt aanbevelingen voor hoe u uw cloudoplossingen in Azure kunt beveiligen. De inhoud wordt gegroepeerd op de beveiligingscontroles die zijn gedefinieerd door de Azure Security Benchmark en de bijbehorende richtlijnen die van toepassing zijn op Azure Kubernetes.

U kunt deze beveiligingsbasislijn en de aanbevelingen ervan bewaken met behulp van Microsoft Defender voor Cloud. Azure Policy definities worden vermeld in de sectie Naleving van regelgeving van het dashboard van Microsoft Defender for Cloud.

Wanneer een sectie relevante Azure Policy definities heeft, worden deze vermeld in deze basislijn om u te helpen de naleving van de controles en aanbevelingen van de Azure Security Benchmark te meten. Voor sommige aanbevelingen is mogelijk een betaald Microsoft Defender-abonnement vereist om bepaalde beveiligingsscenario's in te schakelen.

Notitie

Besturingselementen die niet van toepassing zijn op Azure Kubernetes Service of waarvoor de verantwoordelijkheid van Microsoft is uitgesloten. Als u wilt zien hoe Azure Kubernetes Service volledig is toegewezen aan de Azure Security Benchmark, raadpleegt u het volledige Azure Kubernetes Service toewijzingsbestand voor beveiligingsbasislijnen.

Netwerkbeveiliging

Zie Azure Security Benchmark: netwerkbeveiliging voor meer informatie.

1.1: Azure-resources beveiligen binnen virtuele netwerken

Richtlijnen: Standaard worden er automatisch een netwerkbeveiligingsgroep en routetabel gemaakt met het maken van een AKS-cluster (Microsoft Azure Kubernetes Service). AKS wijzigt automatisch netwerkbeveiligingsgroepen voor de juiste verkeersstroom wanneer services worden gemaakt met load balancers, poorttoewijzingen of toegangsbeheerroutes. De netwerkbeveiligingsgroep wordt automatisch gekoppeld aan de virtuele NIC's op klantknooppunten en de routetabel met het subnet in het virtuele netwerk.

Gebruik AKS-netwerkbeleid om netwerkverkeer te beperken door regels te definiëren voor inkomend en uitgaand verkeer tussen Linux-pods in een cluster op basis van de keuze van naamruimten en labelselectors. Voor het gebruik van netwerkbeleid is de Azure CNI-invoegtoepassing met gedefinieerde virtuele netwerken en subnetten vereist en kan deze alleen worden ingeschakeld bij het maken van het cluster. Ze kunnen niet worden geïmplementeerd in een bestaand AKS-cluster.

U kunt een privé-AKS-cluster implementeren om ervoor te zorgen dat netwerkverkeer tussen uw AKS API-server en knooppuntgroepen alleen op het privénetwerk blijft. Het besturingsvlak of de API-server bevindt zich in een door AKS beheerd Azure-abonnement en maakt gebruik van interne (RFC1918) IP-adressen, terwijl het cluster of de knooppuntgroep van de klant zich in hun eigen abonnement bevindt. De server en de cluster- of knooppuntgroep communiceren met elkaar met behulp van de Azure Private Link-service in het virtuele netwerk van de API-server en een privé-eindpunt dat wordt weergegeven in het subnet van het AKS-cluster van de klant. U kunt ook een openbaar eindpunt gebruiken voor de AKS-API-server, maar de toegang beperken met de functie Geautoriseerde IP-bereiken van de AKS-API-server.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor de aanbevelingen van Microsoft Defender voor Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.ContainerService:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services Beperk de toegang tot de Kubernetes Service Management-API door API-toegang alleen toe te kennen aan IP-adressen in specifieke bereiken. Het is raadzaam de toegang tot geautoriseerde IP-bereiken te beperken om ervoor te zorgen dat alleen toepassingen van toegestane netwerken toegang hebben tot de cluster. Controle, uitgeschakeld 2.0.1

1.2: De configuratie en het verkeer van virtuele netwerken, subnetten en NIC's bewaken en registreren

Richtlijnen: Gebruik Microsoft Defender voor Cloud en volg de aanbevelingen voor netwerkbeveiliging om de netwerkresources te beveiligen die worden gebruikt door uw AKS-clusters (Azure Kubernetes Service).

Schakel stroomlogboeken voor netwerkbeveiligingsgroepen in en verzend de logboeken naar een Azure Storage-account voor controle. U kunt de stroomlogboeken ook verzenden naar een Log Analytics-werkruimte en vervolgens Traffic Analytics gebruiken om inzicht te krijgen in verkeerspatronen in uw Azure-cloud om netwerkactiviteiten te visualiseren, hot spots en beveiligingsrisico's te identificeren, inzicht te krijgen in verkeersstroompatronen en netwerkfouten vast te stellen.

Verantwoordelijkheid: Klant

1.3: Essentiële webtoepassingen beveiligen

Richtlijnen: Gebruik een Azure Application Gateway ingeschakeld Web Application Firewall (WAF) voor een AKS-cluster om een extra beveiligingslaag te bieden door het binnenkomende verkeer naar uw webtoepassingen te filteren. Azure WAF maakt gebruik van een set regels, geleverd door The Open Web Application Security Project (OWASP), voor aanvallen, zoals cross-site scripting of cookie-vergiftiging tegen dit verkeer.

Gebruik een API-gateway voor verificatie, autorisatie, beperking, caching, transformatie en bewaking voor API's die worden gebruikt in uw AKS-omgeving. Een API-gateway fungeert als een voordeur naar de microservices, koppelt clients los van uw microservices en vermindert de complexiteit van uw microservices door de last van het afhandelen van kruisverbrekende problemen te verwijderen.

Verantwoordelijkheid: Klant

1.4: Communicatie met bekende schadelijke IP-adressen weigeren

Richtlijnen: Microsoft Distributed Denial-of-Service (DDoS) Standard-beveiliging inschakelen op de virtuele netwerken waar Azure Kubernetes Service (AKS)-onderdelen worden geïmplementeerd voor beveiliging tegen DDoS-aanvallen.

Installeer de netwerkbeleidsengine en maak Kubernetes-netwerkbeleid om de verkeersstroom tussen pods in AKS te beheren, omdat standaard al het verkeer tussen deze pods is toegestaan. Netwerkbeleid mag alleen worden gebruikt voor op Linux gebaseerde knooppunten en pods in AKS. Definieer regels die de communicatie van pods beperken voor verbeterde beveiliging.

Kies ervoor om verkeer toe te staan of te weigeren op basis van instellingen zoals toegewezen labels, naamruimte of verkeerspoort. Het vereiste netwerkbeleid kan automatisch worden toegepast als pods dynamisch worden gemaakt in een AKS-cluster.

Verantwoordelijkheid: Klant

1.5: Netwerkpakketten vastleggen

Richtlijnen: gebruik Network Watcher pakketopname zoals vereist voor het onderzoeken van afwijkende activiteiten.

Network Watcher wordt automatisch ingeschakeld in de regio van uw virtuele netwerk wanneer u een virtueel netwerk in uw abonnement maakt of bijwerkt. U kunt ook nieuwe exemplaren van Network Watcher maken met behulp van PowerShell, de Azure CLI, de REST API of de Azure Resource Manager-clientmethode

Verantwoordelijkheid: Klant

1.6: Netwerkgebaseerde inbraakdetectie/inbraakpreventiesystemen (IDS/IPS) implementeren

Richtlijnen: Beveilig uw AKS-cluster (Azure Kubernetes Service) met een Azure Application Gateway ingeschakeld met een Web Application Firewall (WAF).

Als inbraakdetectie en/of preventie op basis van nettoladingsinspectie of gedragsanalyse geen vereiste is, kan een Azure Application Gateway met WAF worden gebruikt en geconfigureerd in de 'detectiemodus' om waarschuwingen en bedreigingen te registreren, of 'preventiemodus' om gedetecteerde inbraak en aanvallen actief te blokkeren.

Verantwoordelijkheid: Klant

1.8: De complexiteit en administratieve overhead van netwerkbeveiligingsregels minimaliseren

Richtlijnen: Gebruik servicetags voor virtuele netwerken om besturingselementen voor netwerktoegang te definiëren voor netwerkbeveiligingsgroepen die zijn gekoppeld aan AKS-exemplaren (Azure Kubernetes Service). Servicetags kunnen worden gebruikt in plaats van specifieke IP-adressen bij het maken van beveiligingsregels om het verkeer voor de bijbehorende service toe te staan of te weigeren door de naam van de servicetag op te geven.

Microsoft beheert de adresvoorvoegsels die zijn omvat door de servicetag en werkt de servicetag automatisch bij wanneer adressen worden gewijzigd.

Een Azure-tag toepassen op knooppuntgroepen in uw AKS-cluster. Ze verschillen van de servicetags van het virtuele netwerk en worden toegepast op elk knooppunt in de knooppuntgroep en blijven behouden via upgrades.

Verantwoordelijkheid: Klant

1.9: Standaardbeveiligingsconfiguraties onderhouden voor netwerkapparaten

Richtlijnen: Definieer en implementeer standaardbeveiligingsconfiguraties met Azure Policy voor netwerkbronnen die zijn gekoppeld aan uw AKS-clusters (Azure Kubernetes Service).

Gebruik Azure Policy aliassen in de naamruimten Microsoft.ContainerService en Microsoft.Network om aangepast beleid te maken om de netwerkconfiguratie van uw AKS-clusters te controleren of af te dwingen.

Gebruik ook ingebouwde beleidsdefinities met betrekking tot AKS, zoals:

  • Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services

  • Inkomend HTTPS-verkeer afdwingen in Kubernetes-cluster

  • Garanderen dat services alleen toegestane poorten kunnen controleren in een Kubernetes-cluster

Aanvullende informatie is beschikbaar via de koppelingen waarnaar wordt verwezen.

Verantwoordelijkheid: Klant

1.10: Configuratieregels voor verkeer document

Richtlijnen: Tags gebruiken voor netwerkbeveiligingsgroepen en andere resources voor verkeersstroom naar en van AKS-clusters (Azure Kubernetes Service). Gebruik het veld Beschrijving voor afzonderlijke regels voor netwerkbeveiligingsgroepen om bedrijfsbehoefte en/of duur op te geven, enzovoort, voor regels die verkeer naar/van een netwerk toestaan.

Gebruik een van de ingebouwde Azure Policy definities met betrekking tot taggen, bijvoorbeeld 'Tag en waarde vereisen' om ervoor te zorgen dat alle resources worden gemaakt met tags en om meldingen te ontvangen voor bestaande niet-gemarkeerde resources.

Kies ervoor om specifieke netwerkpaden in het cluster toe te staan of te weigeren op basis van naamruimten en labelselectors met netwerkbeleid. Gebruik deze naamruimten en labels als descriptors voor verkeersconfiguratieregels. Gebruik Azure PowerShell of Azure CLI (opdrachtregelinterface) om acties op te zoeken of uit te voeren op basis van hun tags.

Verantwoordelijkheid: Klant

1.11: Geautomatiseerde hulpprogramma's gebruiken om configuraties van netwerkresources te bewaken en wijzigingen te detecteren

Richtlijnen: Azure-activiteitenlogboek gebruiken om netwerkresourceconfiguraties te bewaken en wijzigingen voor netwerkresources met betrekking tot Azure Kubernetes Service -clusters (AKS) te detecteren.

Maak waarschuwingen in Azure Monitor die worden geactiveerd wanneer wijzigingen in kritieke netwerkresources plaatsvinden. Vermeldingen van de AzureContainerService-gebruiker in de activiteitenlogboeken worden geregistreerd als platformacties.

Gebruik Azure Monitor-logboeken om de logboeken vanuit AKS in te schakelen en er query's op uit te voeren op de hoofdonderdelen, kube-apiserver en kube-controller-manager. Maak en beheer de knooppunten waarop de kubelet wordt uitgevoerd met containerruntime en implementeer hun toepassingen via de beheerde Kubernetes-API-server.

Verantwoordelijkheid: Klant

Logboekregistratie en bewaking

Zie de Azure Security Benchmark: Logboekregistratie en bewaking voor meer informatie.

2.1: Goedgekeurde tijdsynchronisatiebronnen gebruiken

Richtlijnen: Azure Kubernetes Service -knooppunten (AKS) gebruiken ntp.ubuntu.com voor tijdsynchronisatie, samen met UDP-poort 123 en NTP (Network Time Protocol).

Zorg ervoor dat NTP-servers toegankelijk zijn voor de clusterknooppunten als u aangepaste DNS-servers gebruikt.

Verantwoordelijkheid: Gedeeld

2.2: Centraal beheer van beveiligingslogboeken configureren

Richtlijnen: Schakel auditlogboeken in vanuit AKS-hoofdonderdelen (Azure Kubernetes Services), kube-apiserver en kube-controller-manager, die worden geleverd als een beheerde service.

  • kube-auditaksService: de weergavenaam in het auditlogboek voor de bewerking van het besturingsvlak (van de hcpService)

  • masterclient: de weergavenaam in het auditlogboek voor MasterClientCertificate, het certificaat dat u krijgt van az aks get-credentials

  • nodeclient: de weergavenaam voor ClientCertificate, die wordt gebruikt door agentknooppunten

Schakel ook andere auditlogboeken in, zoals kube-audit.

Exporteer deze logboeken naar Log Analytics of een ander opslagplatform. Gebruik in Azure Monitor Log Analytics-werkruimten om query's uit te voeren en analyses uit te voeren en Azure Storage-accounts te gebruiken voor langetermijn- en archiveringsopslag.

Schakel deze gegevens in en neem deze aan boord van Microsoft Sentinel of een SIEM van derden op basis van de bedrijfsvereisten van uw organisatie.

Verantwoordelijkheid: Klant

2.3: Auditlogboekregistratie inschakelen voor Azure-resources

Richtlijnen: Activiteitenlogboeken gebruiken om acties op AKS-resources (Azure Kubernetes Service) te controleren om alle activiteiten en hun status weer te geven. Bepaal welke bewerkingen zijn uitgevoerd op de resources in uw abonnement met activiteitenlogboeken:

  • die de bewerking heeft gestart
  • wanneer de bewerking is opgetreden
  • de status van de bewerking
  • de waarden van andere eigenschappen die u kunnen helpen bij het onderzoeken van de bewerking

Haal informatie op uit het activiteitenlogboek via Azure PowerShell, de Azure-opdrachtregelinterface (CLI), de Azure REST API of de Azure Portal.

Schakel auditlogboeken in op AKS-hoofdonderdelen, zoals:

  • kube-auditaksService: de weergavenaam in het auditlogboek voor de bewerking van het besturingsvlak (van de hcpService)

  • masterclient: de weergavenaam in het auditlogboek voor MasterClientCertificate, het certificaat dat u krijgt van az aks get-credentials

  • nodeclient: de weergavenaam voor ClientCertificate, die wordt gebruikt door agentknooppunten

Schakel ook andere auditlogboeken in, zoals kube-audit.

Verantwoordelijkheid: Klant

2.4: Beveiligingslogboeken verzamelen van besturingssystemen

Richtlijnen: Schakel automatische installatie van Log Analytics-agents in voor het verzamelen van gegevens van de AKS-clusterknooppunten. Schakel automatische inrichting van de Azure Log Analytics-bewakingsagent van Microsoft Defender for Cloud in, omdat automatische inrichting standaard is uitgeschakeld. De agent kan ook handmatig worden geïnstalleerd. Wanneer automatische inrichting is ingeschakeld, implementeert Microsoft Defender for Cloud de Log Analytics-agent op alle ondersteunde Azure-VM's en nieuwe vm's die worden gemaakt.

Microsoft Defender for Cloud verzamelt gegevens van Azure Virtual Machines (VM), virtuele-machineschaalsets en IaaS-containers, zoals Kubernetes-clusterknooppunten, om te controleren op beveiligingsproblemen en bedreigingen. Gegevens worden verzameld met behulp van de Azure Log Analytics-agent, die verschillende beveiligingsconfiguraties en gebeurtenislogboeken van de computer leest en de gegevens kopieert naar uw werkruimte voor analyse.

Gegevensverzameling is vereist om inzicht te bieden in ontbrekende updates, onjuist geconfigureerde beveiligingsinstellingen voor besturingssystemen, eindpuntbeveiligingsstatus en status- en bedreigingsdetecties.

Verantwoordelijkheid: Gedeeld

2.5: Opslagretentie voor beveiligingslogboeken configureren

Richtlijnen: Onboarding van uw AKS-exemplaren (Azure Kubernetes Service) naar Azure Monitor en stel de bijbehorende bewaarperiode van de Azure Log Analytics-werkruimte in op basis van de nalevingsvereisten van uw organisatie.

Verantwoordelijkheid: Klant

2.6: Logboeken bewaken en controleren

Richtlijnen: Onboarding van uw Azure Kubernetes Service -exemplaren (AKS) naar Azure Monitor en diagnostische instellingen voor uw cluster configureren.

Gebruik de Log Analytics-werkruimte van Azure Monitor om logboeken te bekijken en query's uit te voeren op logboekgegevens. Azure Monitor-logboeken worden ingeschakeld en beheerd in de Azure Portal, of via CLI, en werken met op rollen gebaseerd toegangsbeheer van Kubernetes (Kubernetes RBAC), Azure RBAC en AKS-clusters waarvoor niet RBAC is ingeschakeld.

Bekijk de logboeken die zijn gegenereerd door AKS-hoofdonderdelen (kube-apiserver en kube-controllermanager) voor het oplossen van problemen met uw toepassing en services. Gegevens aan boord van Microsoft Sentinel of een SIEM van derden inschakelen en onboarden voor gecentraliseerd logboekbeheer en -bewaking.

Verantwoordelijkheid: Klant

2.7: Waarschuwingen inschakelen voor afwijkende activiteiten

Richtlijnen: Gebruik Azure Kubernetes Service (AKS) samen met Microsoft Defender for Cloud om meer inzicht te krijgen in AKS-knooppunten.

Controleer waarschuwingen van Microsoft Defender for Cloud op bedreigingen en schadelijke activiteiten die zijn gedetecteerd op de host en op clusterniveau. Microsoft Defender for Cloud implementeert continue analyse van onbewerkte beveiligingsgebeurtenissen die plaatsvinden in een AKS-cluster, zoals netwerkgegevens, het maken van processen en het Kubernetes-auditlogboek. Bepaal of deze activiteit verwacht gedrag vertoont of dat de app niet goed werkt. Gebruik metrische gegevens en logboeken in Azure Monitor om uw bevindingen te onderbouwen.

Verantwoordelijkheid: Klant

2.8: Antimalwarelogboekregistratie centraliseren

Richtlijnen: Microsoft Antimalware installeren en inschakelen voor Azure om virtuele machines (AKS) en virtuele-machineschaalsetknooppunten te Azure Kubernetes Service (AKS). Bekijk waarschuwingen in Microsoft Defender voor Cloud voor herstel.

Verantwoordelijkheid: Klant

2.9: DNS-querylogboekregistratie inschakelen

Richtlijnen: Azure Kubernetes Service (AKS) maakt gebruik van het CoreDNS-project voor dns-beheer en -omzetting van clusters.

Schakel logboekregistratie van DNS-query's in door gedocumenteerde configuratie toe te passen in uw coredns-aangepaste ConfigMap.

Verantwoordelijkheid: Klant

2.10: Opdrachtregelcontrolelogboekregistratie inschakelen

Richtlijnen: Gebruik kubectl, een opdrachtregelclient, in Azure Kubernetes Service (AKS) om een Kubernetes-cluster te beheren en de logboeken van het AKS-knooppunt op te halen voor probleemoplossing. Kubectl is al geïnstalleerd als u Azure Cloud Shell gebruikt. Gebruik de cmdlet Install-AzAksKubectl om kubectl lokaal te installeren.

Verantwoordelijkheid: Klant

Identiteits- en toegangsbeheer

Zie de Azure Security Benchmark: Identiteit en Access Control voor meer informatie.

3.1: Een inventaris van beheeraccounts onderhouden

Richtlijnen: Azure Kubernetes Service (AKS) zelf biedt geen oplossing voor identiteitsbeheer waarmee gewone gebruikersaccounts en wachtwoorden worden opgeslagen. Met integratie van Azure Active Directory (Azure AD) kunt u gebruikers of groepen toegang verlenen tot Kubernetes-resources binnen een naamruimte of in het cluster.

Ad-hocquery's uitvoeren om accounts te detecteren die lid zijn van AKS-beheergroepen met de Azure AD PowerShell-module

Gebruik Azure CLI voor bewerkingen zoals 'Toegangsreferenties ophalen voor een beheerd Kubernetes-cluster' om regelmatig toegang te afstemmen. Implementeer dit proces om een bijgewerkte inventaris van de serviceaccounts bij te houden. Dit is een ander primair gebruikerstype in AKS. Aanbevelingen voor identiteits- en toegangsbeheer van Microsoft Defender for Cloud afdwingen.

Verantwoordelijkheid: Klant

3.2: Standaardwachtwoorden wijzigen indien van toepassing

Richtlijnen: Azure Kubernetes Service (AKS) beschikt niet over het concept van algemene standaardwachtwoorden en biedt geen oplossing voor identiteitsbeheer waarbij normale gebruikersaccounts en wachtwoorden kunnen worden opgeslagen. Met integratie van Azure Active Directory (Azure AD) kunt u op rollen gebaseerde toegang verlenen tot AKS-resources binnen een naamruimte of in het cluster.

Ad-hocquery's uitvoeren om accounts te detecteren die lid zijn van AKS-beheergroepen met de Azure AD PowerShell-module

Verantwoordelijkheid: Klant

3.3: Toegewezen beheerdersaccounts gebruiken

Richtlijnen: Gebruikersverificatie integreren voor uw AKS-clusters (Azure Kubernetes Service) met Azure Active Directory (Azure AD). Meld u aan bij een AKS-cluster met behulp van een Azure AD verificatietoken. Configureer Op rollen gebaseerd toegangsbeheer van Kubernetes (Kubernetes RBAC) voor beheerderstoegang tot Kubernetes-configuratiegegevens (kubeconfig) en machtigingen, naamruimten en clusterbronnen.

Beleidsregels en procedures maken voor het gebruik van toegewezen beheerdersaccounts. Implementeer aanbevelingen voor Microsoft Defender for Cloud Identity and Access Management.

Verantwoordelijkheid: Klant

3.4: Eenmalige aanmelding (SSO) gebruiken met Azure Active Directory

Richtlijnen: Gebruik eenmalige aanmelding voor Azure Kubernetes Service (AKS) met geïntegreerde Azure Active Directory-verificatie (Azure AD) voor een AKS-cluster.

Verantwoordelijkheid: Klant

3.5: Meervoudige verificatie gebruiken voor alle op Azure Active Directory gebaseerde toegang

Richtlijnen: Verificatie voor Azure Kubernetes Service (AKS) integreren met Azure Active Directory (Azure AD).

Schakel Azure AD meervoudige verificatie in en volg de aanbevelingen voor identiteits- en toegangsbeheer van Microsoft Defender for Cloud.

Verantwoordelijkheid: Klant

3.6: Speciale machines (Privileged Access Workstations) gebruiken voor alle beheertaken

Richtlijnen: Gebruik een Privileged Access Workstation (PAW), met Multi-Factor Authentication (MFA), geconfigureerd om u aan te melden bij de opgegeven AKS-clusters (Azure Kubernetes Service) en gerelateerde resources.

Verantwoordelijkheid: Klant

3.7: Logboek en waarschuwing over verdachte activiteiten vanuit beheerdersaccounts

Richtlijnen: Azure Active Directory-beveiligingsrapporten (Azure AD) gebruiken met Azure AD geïntegreerde verificatie voor Azure Kubernetes Service (AKS). Waarschuwingen kunnen worden gegenereerd wanneer er verdachte of onveilige activiteiten plaatsvinden in de omgeving. Gebruik Microsoft Defender voor Cloud om identiteiten en toegangsactiviteiten te bewaken.

Verantwoordelijkheid: Klant

3.8: Azure-resources alleen beheren vanaf goedgekeurde locaties

Richtlijnen: Voorwaardelijke toegang benoemde locaties gebruiken om toegang tot AKS-clusters (Azure Kubernetes Service) toe te staan vanuit alleen specifieke logische groeperingen van IP-adresbereiken of landen/regio's. Hiervoor is geïntegreerde verificatie vereist voor AKS met Azure Active Directory (Azure AD).

Beperk de toegang tot de AKS-API-server van een beperkte set IP-adresbereiken, omdat er aanvragen worden ontvangen om acties uit te voeren in het cluster om resources te maken of het aantal knooppunten te schalen.

Verantwoordelijkheid: Klant

3.9: Azure Active Directory gebruiken

Richtlijnen: Azure Active Directory (Azure AD) gebruiken als het centrale verificatie- en autorisatiesysteem voor Azure Kubernetes Service (AKS). Azure AD beschermt gegevens door sterke versleuteling te gebruiken voor data-at-rest en in transit en salts, hashes en veilig gebruikersreferenties op te slaan.

Gebruik de ingebouwde AKS-rollen met op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) - Inzender en Eigenaar van resourcebeleid voor beleidstoewijzingen voor uw Kubernetes-cluster

Verantwoordelijkheid: Klant

3.10: Gebruikerstoegang regelmatig controleren en afstemmen

Richtlijnen: Azure Active Directory-beveiligingsrapporten (Azure AD) gebruiken met Azure AD geïntegreerde verificatie voor Azure Kubernetes Service (AKS). Zoek Azure AD logboeken om verlopen accounts te detecteren.

Voer Azure Identity Access Reviews uit om groepslidmaatschappen, toegang tot bedrijfstoepassingen en roltoewijzingen efficiënt te beheren. Aanbevelingen voor identiteit en toegang herstellen vanuit Microsoft Defender for Cloud.

Houd rekening met rollen die worden gebruikt voor ondersteunings- of probleemoplossingsdoeleinden. Clusteracties die door Microsoft-ondersteuning worden uitgevoerd (met toestemming van de gebruiker) worden bijvoorbeeld uitgevoerd onder een ingebouwde Kubernetes-bewerkingsrol van de naam aks-support-rolebinding. AKS-ondersteuning is ingeschakeld met deze rol om clusterconfiguratie en -resources te bewerken om clusterproblemen op te lossen en te diagnosticeren. Deze rol kan echter geen machtigingen wijzigen of rollen of rolbindingen maken. Deze roltoegang is alleen ingeschakeld onder actieve ondersteuningstickets met Just-In-Time-toegang (JIT).

Verantwoordelijkheid: Klant

3.11: Controleer pogingen om toegang te krijgen tot gedeactiveerde referenties

Richtlijnen: Gebruikersverificatie voor Azure Kubernetes Service (AKS) integreren met Azure Active Directory (Azure AD). Diagnostische instellingen maken voor Azure AD, het verzenden van de audit- en aanmeldingslogboeken naar een Azure Log Analytics-werkruimte. Configureer de gewenste waarschuwingen (bijvoorbeeld wanneer een gedeactiveerd account zich probeert aan te melden) in een Azure Log Analytics-werkruimte.

Verantwoordelijkheid: Klant

3.12: Waarschuwing bij afwijking van aanmeldingsgedrag van account

Richtlijnen: Gebruikersverificatie voor Azure Kubernetes Service (AKS) integreren met Azure Active Directory (Azure AD). Gebruik de functie risicodetecties en identiteitsbeveiliging van Azure AD om geautomatiseerde reacties te configureren voor gedetecteerde verdachte acties met betrekking tot gebruikersidentiteiten. Gegevens opnemen in Microsoft Sentinel voor verdere onderzoeken op basis van bedrijfsbehoeften.

Verantwoordelijkheid: Klant

Gegevensbeveiliging

Zie Azure Security Benchmark: gegevensbescherming voor meer informatie.

4.1: Een inventaris van gevoelige informatie onderhouden

Richtlijnen: Tags gebruiken voor resources met betrekking tot Azure Kubernetes Service (AKS) implementaties om u te helpen bij het bijhouden van Azure-resources die gevoelige informatie opslaan of verwerken.

Verantwoordelijkheid: Klant

4.2: Systemen isoleren die gevoelige informatie opslaan of verwerken

Richtlijnen: Teams en workloads in hetzelfde cluster logisch isoleren met Azure Kubernetes Service (AKS) om het minste aantal bevoegdheden te bieden, afgestemd op de resources die voor elk team zijn vereist.

Gebruik de naamruimte in Kubernetes om een logische isolatiegrens te maken. Overweeg om extra Kubernetes-functies te implementeren voor isolatie en multitenancy, zoals planning, netwerken, verificatie/autorisatie en containers.

Implementeer afzonderlijke abonnementen en/of beheergroepen voor ontwikkel-, test- en productieomgevingen. Afzonderlijke AKS-clusters met netwerken door ze te implementeren in afzonderlijke virtuele netwerken, die op de juiste manier worden gelabeld.

Verantwoordelijkheid: Klant

4.3: Onbevoegde overdracht van gevoelige informatie bewaken en blokkeren

Richtlijnen: Gebruik een oplossing van derden van Azure Marketplace op netwerkperimeters die bewaakt op onbevoegde overdracht van gevoelige informatie en blokkeert dergelijke overdrachten tijdens het waarschuwen van beveiligingsprofessionals voor informatie.

Microsoft beheert het onderliggende platform en behandelt alle inhoud van klanten als gevoelig en gaat tot grote lengten om te beschermen tegen verlies en blootstelling van klantgegevens. Om ervoor te zorgen dat klantgegevens binnen Azure veilig blijven, heeft Microsoft een suite met robuuste besturingselementen en mogelijkheden voor gegevensbeveiliging geïmplementeerd en onderhouden.

Verantwoordelijkheid: Gedeeld

4.4: Alle gevoelige informatie tijdens overdracht versleutelen

Richtlijnen: Maak een HTTPS-ingangscontroller en gebruik uw eigen TLS-certificaten (of optioneel, Laten we versleutelen) voor uw AKS-implementaties (Azure Kubernetes Service).

Uitgaand kubernetes-verkeer wordt standaard versleuteld via HTTPS/TLS. Bekijk mogelijk niet-versleuteld uitgaand verkeer van uw AKS-exemplaren voor extra bewaking. Dit kan bestaan uit NTP-verkeer, DNS-verkeer, HTTP-verkeer voor het ophalen van updates in sommige gevallen.

Verantwoordelijkheid: Klant

4.5: Een actief detectieprogramma gebruiken om gevoelige gegevens te identificeren

Richtlijnen: functies voor gegevensidentificatie, classificatie en verliespreventie zijn nog niet beschikbaar voor Azure Storage- of rekenresources. Implementeer indien nodig een oplossing van derden voor nalevingsdoeleinden. Microsoft beheert het onderliggende platform en behandelt alle inhoud van klanten als gevoelig en gaat tot grote lengten om te beschermen tegen verlies en blootstelling van klantgegevens.

Om ervoor te zorgen dat klantgegevens binnen Azure veilig blijven, heeft Microsoft een suite met robuuste besturingselementen en mogelijkheden voor gegevensbeveiliging geïmplementeerd en onderhouden.

Verantwoordelijkheid: Klant

4.6: Azure RBAC gebruiken om toegang tot resources te beheren

Richtlijnen: Gebruik het autorisatiesysteem voor op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC) dat is gebouwd op Azure Resource Manager om gedetailleerd toegangsbeheer van Azure-resources te bieden.

Configureer Azure Kubernetes Service (AKS) voor het gebruik van Azure Active Directory (Azure AD) voor gebruikersverificatie. Meld u aan bij een AKS-cluster met behulp van Azure AD verificatietoken met behulp van deze configuratie.

Gebruik de ingebouwde AKS-rollen met Azure RBAC- Resource Policy Inzender en Eigenaar voor beleidstoewijzingsbewerkingen voor uw AKS-cluster

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor aanbevelingen van Microsoft Defender for Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.ContainerService:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Op rollen gebaseerd toegangsbeheer (RBAC) moet worden gebruikt voor Kubernetes Services Gebruik op rollen gebaseerd toegangsbeheer (RBAC) om de machtigingen in Kubernetes Service-clusters te beheren en het relevante autorisatiebeleid te configureren om gedetailleerde filters te bieden voor de acties die gebruikers kunnen uitvoeren. Controle, uitgeschakeld 1.0.2

4.7: Preventie van gegevensverlies op basis van host gebruiken om toegangsbeheer af te dwingen

Richtlijnen: functies voor gegevensidentificatie, classificatie en verliespreventie zijn nog niet beschikbaar voor Azure Storage- of rekenresources. Implementeer indien nodig een oplossing van derden voor nalevingsdoeleinden. Microsoft beheert het onderliggende platform en behandelt alle inhoud van klanten als gevoelig en gaat tot grote lengten om te beschermen tegen verlies en blootstelling van klantgegevens. Om ervoor te zorgen dat klantgegevens binnen Azure veilig blijven, heeft Microsoft een suite met robuuste besturingselementen en mogelijkheden voor gegevensbeveiliging geïmplementeerd en onderhouden.

Verantwoordelijkheid: Klant

4.8: Gevoelige informatie-at-rest versleutelen

Richtlijnen: De twee primaire opslagtypen voor volumes in Azure Kubernetes Service (AKS) worden ondersteund door Azure Disks of Azure Files. Beide typen opslag maken gebruik van Azure Storage Service Encryption (SSE), waarmee gegevens-at-rest worden versleuteld om de beveiliging te verbeteren. Gegevens worden standaard versleuteld met door Microsoft beheerde sleutels.

Versleuteling-at-rest met door de klant beheerde sleutels is beschikbaar voor het versleutelen van zowel het besturingssysteem als de gegevensschijven op AKS-clusters voor extra controle over versleutelingssleutels. Klanten zijn eigenaar van de verantwoordelijkheid voor belangrijke beheeractiviteiten, zoals back-up en rotatie van sleutels. Schijven kunnen momenteel niet worden versleuteld met Behulp van Azure Disk Encryption op het niveau van het AKS-knooppunt.

Verantwoordelijkheid: Gedeeld

4.9: Logboek en waarschuwing bij wijzigingen in kritieke Azure-resources

Richtlijnen: Azure Monitor voor containers gebruiken om de prestaties te bewaken van containerworkloads die zijn geïmplementeerd in beheerde Kubernetes-clusters die worden gehost op Azure Kubernetes Service (AKS).

Configureer waarschuwingen voor het proactief maken van meldingen of logboeken wanneer het CPU- en geheugengebruik op knooppunten of containers de gedefinieerde drempelwaarden overschrijdt, of wanneer een statuswijziging plaatsvindt in het cluster in de infrastructuur of het statuspakket van knooppunten.

Gebruik Azure-activiteitenlogboek om uw AKS-clusters en gerelateerde resources op hoog niveau te bewaken. Integreer met Prometheus om metrische gegevens over toepassingen en werkbelastingen weer te geven die worden verzameld van knooppunten en Kubernetes met behulp van query's om aangepaste waarschuwingen, dashboards en gedetailleerde analyses uit te voeren.

Verantwoordelijkheid: Klant

Beheer van beveiligingsproblemen

Zie de Azure Security Benchmark: Vulnerability Management voor meer informatie.

5.1: Geautomatiseerde hulpprogramma's voor scannen op beveiligingsproblemen uitvoeren

Richtlijnen: Microsoft Defender for Cloud gebruiken om uw Azure Container Registry te bewaken, inclusief Azure Kubernetes Service -exemplaren (AKS) voor beveiligingsproblemen. Schakel de bundel Containerregisters in Microsoft Defender voor Cloud in om ervoor te zorgen dat Microsoft Defender for Cloud klaar is om installatiekopieën te scannen die naar het register worden gepusht.

Ontvang een melding in het Microsoft Defender for Cloud-dashboard wanneer er problemen zijn gevonden nadat Microsoft Defender for Cloud de installatiekopieën scant met Behulp van Qualys. De bundelfunctie Containerregisters biedt meer inzicht in beveiligingsproblemen van de installatiekopieën die worden gebruikt in Azure Resource Manager-registers.

Gebruik Microsoft Defender voor Cloud voor bruikbare aanbevelingen voor elk beveiligingsprobleem. Deze aanbevelingen omvatten een ernstclassificatie en richtlijnen voor herstel.

Verantwoordelijkheid: Klant

5.2: Geautomatiseerde oplossing voor patchbeheer van besturingssystemen implementeren

Richtlijnen: Beveiligingsupdates worden automatisch toegepast op Linux-knooppunten om de AKS-clusters (Azure Kubernetes Service) van de klant te beveiligen. Deze updates omvatten besturingssysteembeveiligingsoplossingen of kernelupdates.

Houd er rekening mee dat het proces voor het up-to-date houden van Windows Server-knooppunten verschilt van knooppunten waarop Linux wordt uitgevoerd, omdat Windows Server-knooppunten geen dagelijkse updates ontvangen. In plaats daarvan moeten klanten een upgrade uitvoeren op de Windows Server-knooppuntgroepen in hun AKS-clusters waarmee nieuwe knooppunten worden geïmplementeerd met de nieuwste installatiekopie van Windows Server en patches met behulp van het Azure-configuratiescherm of de Azure CLI. Deze updates bevatten verbeteringen in beveiliging of functionaliteit voor AKS.

Verantwoordelijkheid: Klant

5.3: Een geautomatiseerde oplossing voor patchbeheer implementeren voor softwaretitels van derden

Richtlijnen: Implementeer een handmatig proces om ervoor te zorgen dat de toepassingen van derden van het AKS-clusterknooppunt van Azure Kubernetes Service (AKS) gedurende de levensduur van het cluster worden gepatcht. Dit kan nodig zijn om automatische updates in te schakelen, de knooppunten te bewaken of periodieke herstarts uit te voeren.

Verantwoordelijkheid: Klant

Microsoft Defender voor Cloud-bewaking: De Azure Security Benchmark is het standaardbeleidsinitiatief voor Microsoft Defender voor Cloud en vormt de basis voor aanbevelingen van Microsoft Defender for Cloud. De Azure Policy definities met betrekking tot dit besturingselement worden automatisch ingeschakeld door Microsoft Defender for Cloud. Waarschuwingen met betrekking tot dit besturingselement vereisen mogelijk een Microsoft Defender-abonnement voor de gerelateerde services.

Azure Policy ingebouwde definities - Microsoft.ContainerService:

Naam
(Azure-portal)
Beschrijving Gevolg(en) Versie
(GitHub)
Kubernetes-services moeten worden geüpgraded naar een niet-kwetsbare Kubernetes-versie Voer een upgrade van uw Kubernetes-servicecluster uit naar een nieuwere Kubernetes-versie om het cluster te beschermen tegen bekende beveiligingsproblemen in de huidige Kubernetes-versie. Beveiligingsprobleem met betrekking tot CVE-2019-9946 is opgelost in Kubernetes-versies 1.11.9+, 1.12.7+, 1.13.5+ en 1.14.0+ Controle, uitgeschakeld 1.0.2

5.4: back-to-back-beveiligingsscans vergelijken

Richtlijnen: Scanresultaten van Microsoft Defender for Cloud met consistente intervallen exporteren en de resultaten vergelijken om te controleren of beveiligingsproblemen zijn hersteld.

Gebruik de PowerShell-cmdlet 'Get-AzSecurityTask' om het ophalen van beveiligingstaken te automatiseren die Microsoft Defender voor Cloud aanbeveelt om uw beveiligingspostuur en herstelproblemen te verbeteren.

Verantwoordelijkheid: Klant

5.5: Gebruik een risicoclassificatieproces om prioriteit te geven aan het herstel van gedetecteerde beveiligingsproblemen

Richtlijnen: Gebruik de ernstclassificatie van Microsoft Defender voor Cloud om prioriteit te geven aan het herstel van beveiligingsproblemen.

Gebruik Common Vulnerability Scoring System (CVSS) (of andere scoresystemen zoals geleverd door uw scanprogramma) als u een ingebouwd hulpprogramma voor evaluatie van beveiligingsproblemen gebruikt (zoals Qualys of Rapid7, aangeboden door Azure).

Verantwoordelijkheid: Klant

Inventarisatie en Asset Management

Zie de Azure Security Benchmark: Inventory and Asset Management voor meer informatie.

6.1: Geautomatiseerde oplossing voor assetdetectie gebruiken

Richtlijnen: Gebruik Azure Resource Graph om alle resources (zoals compute, opslag, netwerk, enzovoort) in uw abonnementen op te vragen/te detecteren. Zorg ervoor dat u over de juiste (lees)machtigingen in uw tenant beschikt en alle Azure-abonnementen en -resources binnen uw abonnementen kunt inventariseren.

Hoewel klassieke Azure-resources kunnen worden gedetecteerd via Resource Graph, wordt het ten zeerste aanbevolen om azure Resource Manager-resources te maken en te gebruiken.

Verantwoordelijkheid: Klant

6.2: Metagegevens van assets onderhouden

Richtlijnen: Tags toepassen op Azure-resources met metagegevens om ze logisch te ordenen in een taxonomie.

Verantwoordelijkheid: Klant

6.3: Niet-geautoriseerde Azure-resources verwijderen

Richtlijnen: Gebruik waar nodig taggen, beheergroepen en afzonderlijke abonnementen om assets te organiseren en bij te houden.

Taints, labels of tags toepassen bij het maken van een AKS-knooppuntgroep (Azure Kubernetes Service). Alle knooppunten in die knooppuntgroep nemen ook die taint, label of tag over.

Taints, labels of tags kunnen regelmatig worden gebruikt om voorraad af te stemmen en ervoor te zorgen dat onbevoegde resources tijdig uit abonnementen worden verwijderd.

Verantwoordelijkheid: Klant

6.4: Een inventaris van goedgekeurde Azure-resources definiëren en onderhouden

Richtlijnen: Definieer een lijst met goedgekeurde Azure-resources en goedgekeurde software voor rekenresources op basis van de bedrijfsbehoeften van de organisatie.

Verantwoordelijkheid: Klant

6.5: Controleren op niet-goedgekeurde Azure-resources

Richtlijnen: Gebruik Azure Policy om beperkingen in te stellen voor het type resources dat kan worden gemaakt in klantabonnementen met behulp van de volgende ingebouwde beleidsdefinities:

  • Niet toegestane resourcetypen

  • Toegestane brontypen

Gebruik Azure Resource Graph om resources in uw abonnementen op te vragen/te detecteren. Zorg ervoor dat alle Azure-resources die aanwezig zijn in de omgeving, zijn goedgekeurd op basis van de bedrijfsvereisten van de organisatie.

Verantwoordelijkheid: Klant

6.6: Controleren op niet-goedgekeurde softwaretoepassingen binnen rekenresources

Richtlijnen: gebruik Azure Automation Wijzigingen bijhouden en inventaris functies om te ontdekken welke software in uw omgeving is geïnstalleerd.

Verzamel en bekijk inventaris voor software, bestanden, Linux-daemons, Windows-services en Windows-registersleutels op uw computers en controleer op niet-goedgekeurde softwaretoepassingen.

Houd de configuraties van uw machines bij om operationele problemen in uw omgeving vast te stellen en de status van uw machines beter te begrijpen.

Verantwoordelijkheid: Klant

6.7: Niet-goedgekeurde Azure-resources en -softwaretoepassingen verwijderen

Richtlijnen: gebruik Azure Automation Wijzigingen bijhouden en inventaris functies om te ontdekken welke software in uw omgeving is geïnstalleerd.

Verzamel en bekijk inventaris voor software, bestanden, Linux-daemons, Windows-services en Windows-registersleutels op uw computers en controleer op niet-goedgekeurde softwaretoepassingen.

Houd de configuraties van uw machines bij om operationele problemen in uw omgeving vast te stellen en de status van uw machines beter te begrijpen.

Verantwoordelijkheid: Klant

6.8: Alleen goedgekeurde toepassingen gebruiken

Richtlijnen: gebruik Azure Automation Wijzigingen bijhouden en inventaris functies om te ontdekken welke software in uw omgeving is geïnstalleerd.

Verzamel en bekijk inventaris voor software, bestanden, Linux-daemons, Windows-services en Windows-registersleutels op uw computers en controleer op niet-goedgekeurde softwaretoepassingen.

Houd de configuraties van uw machines bij om operationele problemen in uw omgeving vast te stellen en de status van uw machines beter te begrijpen.

Schakel adaptieve toepassingsanalyse in Microsoft Defender voor Cloud in voor toepassingen die in uw omgeving aanwezig zijn.

Verantwoordelijkheid: Klant

6.9: Alleen goedgekeurde Azure-services gebruiken

Richtlijnen: Gebruik Azure Policy om beperkingen in te stellen voor het type resources dat kan worden gemaakt in klantabonnementen met behulp van de volgende ingebouwde beleidsdefinities:

  • Niet toegestane resourcetypen

  • Toegestane brontypen

Gebruik Azure Resource Graph om resources in uw abonnementen op te vragen/te detecteren. Zorg ervoor dat alle Azure-resources die aanwezig zijn in de omgeving, zijn goedgekeurd.

Verantwoordelijkheid: Klant

6.10: Onderhoud een inventaris van goedgekeurde softwaretitels

Richtlijnen: gebruik Azure Policy om beperkingen in te stellen voor het type resources dat in uw abonnementen kan worden gemaakt met behulp van ingebouwde beleidsdefinities.

Verantwoordelijkheid: Klant

6.11: Beperk de mogelijkheid van gebruikers om te communiceren met Azure Resource Manager

Richtlijnen: Gebruik voorwaardelijke toegang van Azure om de mogelijkheid van gebruikers om te communiceren met Azure Resource Manager te beperken door 'Toegang blokkeren' te configureren voor de App 'Microsoft Azure Management'.

Verantwoordelijkheid: Klant

6.12: De mogelijkheid van gebruikers beperken om scripts uit te voeren in rekenresources

Richtlijnen: Azure Kubernetes Service (AKS) zelf biedt geen oplossing voor identiteitsbeheer waarbij normale gebruikersaccounts en wachtwoorden worden opgeslagen. Gebruik in plaats daarvan Azure Active Directory (Azure AD) als de geïntegreerde identiteitsoplossing voor uw AKS-clusters.

Gebruikers of groepen toegang verlenen tot Kubernetes-resources binnen een naamruimte of in het cluster met behulp van Azure AD-integratie.

Gebruik de Azure AD PowerShell-module om ad-hocquery's uit te voeren om accounts te detecteren die lid zijn van uw AKS-beheergroepen en deze te gebruiken om de toegang regelmatig af te stemmen. Gebruik Azure CLI voor bewerkingen zoals Toegangsreferenties ophalen voor een beheerd Kubernetes-cluster. Implementeer aanbevelingen voor Microsoft Defender voor cloudidentiteit en toegangsbeheer.

Verantwoordelijkheid: Klant

6.13: Toepassingen met een hoog risico fysiek of logisch scheiden

Richtlijnen: Gebruik Azure Kubernetes Service (AKS)-functies om teams en workloads in hetzelfde cluster logisch te isoleren voor het minste aantal bevoegdheden, afgestemd op de resources die elk team nodig heeft.

Implementeer naamruimte in Kubernetes om een logische isolatiegrens te maken. Gebruik Azure Policy aliassen in de naamruimte Microsoft.ContainerService om aangepast beleid te maken om de configuratie van uw AKS-exemplaren (Azure Kubernetes Service) te controleren of af te dwingen.

Bekijk en implementeer aanvullende Kubernetes-functies en overwegingen voor isolatie en multitenancy om het volgende op te nemen: planning, netwerken, verificatie/autorisatie en containers. Gebruik ook afzonderlijke abonnementen en beheergroepen voor ontwikkeling, test en productie. Scheid AKS-clusters met virtuele netwerken, subnetten die op de juiste wijze worden gelabeld en beveiligd met een Web Application Firewall (WAF).

Verantwoordelijkheid: Klant

Veilige configuratie

Zie de Azure Security Benchmark: Secure Configuration voor meer informatie.

7.1: Veilige configuraties instellen voor alle Azure-resources

Richtlijnen: gebruik Azure Policy aliassen in de naamruimte Microsoft.ContainerService om aangepast beleid te maken om de configuratie van uw AKS-exemplaren (Azure Kubernetes Service) te controleren of af te dwingen. Ingebouwde Azure Policy definities gebruiken.

Voorbeelden van ingebouwde beleidsdefinities voor AKS zijn:

  • Inkomend HTTPS-verkeer afdwingen in Kubernetes-cluster

  • Geautoriseerde IP-bereiken moeten worden gedefinieerd voor Kubernetes Services

  • Op rollen gebaseerde Access Control (RBAC) moet worden gebruikt in Kubernetes Services

  • Alleen toegestane containerinstallatiekopieën garanderen in een Kubernetes-cluster

Exporteer een sjabloon van uw AKS-configuratie in JavaScript Object Notation (JSON) met Azure Resource Manager. Controleer deze regelmatig om ervoor te zorgen dat deze configuraties voldoen aan de beveiligingsvereisten voor uw organisatie. Gebruik de aanbevelingen van Microsoft Defender voor Cloud als een veilige configuratiebasislijn voor uw Azure-resources.

Verantwoordelijkheid: Klant

7.2: Veilige besturingssysteemconfiguraties instellen

Richtlijnen: AKS-clusters (Azure Kubernetes Clusters) worden geïmplementeerd op virtuele machines met een besturingssysteem dat is geoptimaliseerd voor beveiliging. Het host-besturingssysteem bevat extra beveiligingsbeveiligingsstappen die erin zijn opgenomen om het oppervlak van aanvallen te verminderen en de implementatie van containers op een veilige manier mogelijk te maken.

Azure past dagelijkse patches (inclusief beveiligingspatches) toe op hosts van virtuele AKS-machines met enkele patches waarvoor opnieuw moet worden opgestart. Klanten zijn verantwoordelijk voor het plannen van het plannen van het opnieuw opstarten van de virtuele AKS-machinehost volgens behoefte.

Verantwoordelijkheid: Gedeeld

7.3: Beveiligde Azure-resourceconfiguraties onderhouden

Richtlijnen: Beveilig uw AKS-cluster (Azure Kubernetes Service) met behulp van beveiligingsbeleid voor pods. Beperk welke pods kunnen worden gepland om de beveiliging van uw cluster te verbeteren.

Pods die resources aanvragen die niet zijn toegestaan, kunnen niet worden uitgevoerd in het AKS-cluster.

Gebruik ook Azure Policy effecten [weigeren] en [implementeren als deze niet bestaan] om beveiligde instellingen af te dwingen voor de Azure-resources die betrekking hebben op uw AKS-implementaties (zoals virtuele netwerken, subnetten, Azure Firewalls, opslagaccounts, enzovoort).

Maak aangepaste Azure Policy definities met aliassen uit de volgende naamruimten:

  • Microsoft.ContainerService

  • Microsoft.Network

Aanvullende informatie is beschikbaar via de koppelingen waarnaar wordt verwezen.

Verantwoordelijkheid: Klant

7.4: Beveiligde besturingssysteemconfiguraties onderhouden

Richtlijnen: Azure Kubernetes Service (AKS)-clusters worden geïmplementeerd op virtuele hostmachines met een besturingssysteem dat is geoptimaliseerd voor beveiliging. Het host-besturingssysteem bevat extra beveiligingsbeveiligingsstappen die erin zijn opgenomen om het oppervlak van aanvallen te verminderen en de implementatie van containers op een veilige manier mogelijk te maken.

Raadpleeg de lijst met cis-besturingselementen (Center for Internet Security) die zijn ingebouwd in het hostbesturingssysteem.

Verantwoordelijkheid: Klant

7.5: Configuratie van Azure-resources veilig opslaan

Richtlijnen: Gebruik Azure-opslagplaatsen om uw configuraties veilig op te slaan en te beheren als u aangepaste Azure Policy definities gebruikt. Exporteer een sjabloon van uw AKS-configuratie (Azure Kubernetes Service) in JavaScript Object Notation (JSON) met Azure Resource Manager. Controleer het regelmatig om ervoor te zorgen dat de configuraties voldoen aan de beveiligingsvereisten voor uw organisatie.

Implementeer oplossingen van derden, zoals Terraform, om een configuratiebestand te maken dat de resources voor het Kubernetes-cluster declareert. U kunt uw AKS-implementatie beveiligen door best practices voor beveiliging te implementeren en uw configuratie op te slaan als code op een beveiligde locatie.

Verantwoordelijkheid: Klant

7.6: Aangepaste installatiekopieën van besturingssystemen veilig opslaan

Richtlijnen: Niet van toepassing op Azure Kubernetes Service (AKS). AKS biedt standaard een voor beveiliging geoptimaliseerd hostbesturingssysteem (OS). Er is geen huidige optie om een alternatief of aangepast besturingssysteem te selecteren.

Verantwoordelijkheid: Klant

7.7: Hulpprogramma's voor configuratiebeheer implementeren voor Azure-resources

Richtlijnen: gebruik Azure Policy om beperkingen in te stellen voor het type resources dat kan worden gemaakt in abonnementen met behulp van ingebouwde beleidsdefinities en Azure Policy aliassen in de naamruimte Microsoft.ContainerService.

Maak aangepast beleid om systeemconfiguraties te controleren en af te dwingen. Ontwikkel een proces en pijplijn voor het beheren van beleidsonderzondering.

Verantwoordelijkheid: Klant

7.8: Configuratiebeheerprogramma's implementeren voor besturingssystemen

Richtlijnen: Azure Kubernetes Service (AKS)-clusters worden geïmplementeerd op virtuele hostmachines met een besturingssysteem dat is geoptimaliseerd voor beveiliging. Het host-besturingssysteem bevat extra beveiligingsbeveiligingsstappen die erin zijn opgenomen om het kwetsbaarheid voor aanvallen te verminderen en de implementatie van containers op een veilige manier mogelijk te maken.

Raadpleeg de lijst met cis-besturingselementen (Center for Internet Security) die zijn ingebouwd in AKS-hosts.

Verantwoordelijkheid: Klant

7.9: Geautomatiseerde configuratiebewaking implementeren voor Azure-resources

Richtlijnen: Gebruik Microsoft Defender for Cloud om basislijnscans uit te voeren op resources met betrekking tot uw AKS-implementaties (Azure Kubernetes Service). Voorbeelden van resources zijn, maar zijn niet beperkt tot het AKS-cluster zelf, het virtuele netwerk waar het AKS-cluster is geïmplementeerd, het Azure Storage-account dat wordt gebruikt voor het bijhouden van de Terraform-status of Azure Key Vault exemplaren die worden gebruikt voor de versleutelingssleutels voor het besturingssysteem en de gegevensschijven van uw AKS-cluster.

Verantwoordelijkheid: Klant

7.10: Geautomatiseerde configuratiebewaking implementeren voor besturingssystemen

Richtlijnen: Gebruik aanbevelingen voor Microsoft Defender for Cloud-containers in de sectie Compute-apps & om basislijnscans uit te voeren voor uw AKS-clusters (Azure Kubernetes Service).

Ontvang een melding in het Microsoft Defender for Cloud-dashboard wanneer er configuratieproblemen of beveiligingsproblemen worden gevonden. Hiervoor is het inschakelen van de optionele containerregisterbundel vereist waarmee Microsoft Defender for Cloud de installatiekopieën kan scannen.

Verantwoordelijkheid: Klant

7.11: Azure-geheimen veilig beheren

Richtlijnen: Azure Key Vault integreren met een AKS-cluster (Azure Kubernetes Service) met behulp van een FlexVolume-station. Gebruik Azure Key Vault om geheimen zoals referenties, opslagaccountsleutels of certificaten op te slaan en regelmatig te roteren. Met het FlexVolume-stuurprogramma kunnen de referenties van het AKS-cluster systeemeigen worden opgehaald uit Key Vault en veilig alleen worden verstrekt aan de aanvraagpod. Gebruik een door pod beheerde identiteit om toegang tot Key Vault aan te vragen en de vereiste referenties op te halen via het FlexVolume-stuurprogramma. Zorg ervoor dat Key Vault Voorlopig verwijderen is ingeschakeld.

Beperk de blootstelling van referenties door geen referenties in uw toepassingscode te definiëren.

Vermijd het gebruik van vaste of gedeelde referenties.

Verantwoordelijkheid: Klant

7.12: Identiteiten veilig en automatisch beheren

Richtlijnen: Definieer geen referenties in uw toepassingscode als best practice voor beveiliging. Gebruik beheerde identiteiten voor Azure-resources om een pod zichzelf te laten verifiëren bij elke service in Azure die dit ondersteunt, inclusief Azure Key Vault. Aan de pod wordt een Azure-identiteit toegewezen om te verifiëren bij Azure Active Directory (Azure AD) en een digitaal token te ontvangen dat kan worden gepresenteerd aan andere Azure-services die controleren of de pod is gemachtigd om toegang te krijgen tot de service en de vereiste acties uit te voeren.

Houd er rekening mee dat beheerde pod-identiteiten alleen zijn bedoeld voor gebruik met Linux-pods en containerinstallatiekopieën. Richt Azure Key Vault in om digitale sleutels en referenties op te slaan en op te halen. Sleutels zoals de sleutels die worden gebruikt voor het versleutelen van besturingssysteemschijven, kunnen AKS-clustergegevens worden opgeslagen in Azure Key Vault.

Service-principals kunnen ook worden gebruikt in AKS-clusters. Clusters met behulp van service-principals kunnen echter uiteindelijk een status bereiken waarin de service-principal moet worden vernieuwd om het cluster te laten werken. Het beheren van service-principals voegt complexiteit toe. Daarom is het eenvoudiger om in plaats daarvan beheerde identiteiten te gebruiken. Dezelfde machtigingsvereisten gelden voor zowel service-principals als beheerde identiteiten.

Verantwoordelijkheid: Klant

7.13: Onbedoelde referentieblootstelling elimineren

Richtlijnen: Implementeer referentiescanner om referenties in code te identificeren. Referentiescanner moedigt ook aan gedetecteerde referenties te verplaatsen naar veiligere locaties, zoals Azure Key Vault met aanbevelingen.

Beperk de blootstelling van referenties door geen referenties in uw toepassingscode te definiëren. en vermijd het gebruik van gedeelde referenties. Azure Key Vault moet worden gebruikt om digitale sleutels en referenties op te slaan en op te halen. Gebruik beheerde identiteiten voor Azure-resources om uw pod toegang tot andere resources te laten aanvragen.

Verantwoordelijkheid: Klant

Beveiliging tegen malware

Zie de Azure Security Benchmark: Malware Defense voor meer informatie.

8.1: Centraal beheerde antimalwaresoftware gebruiken

Richtlijnen: AKS beheert de levenscyclus en bewerkingen van agentknooppunten namens u. Het wijzigen van de IaaS-resources die zijn gekoppeld aan de agentknooppunten, wordt niet ondersteund. Voor Linux-knooppunten kunt u echter daemon-sets gebruiken om aangepaste software te installeren, zoals een antimalwareoplossing.

Verantwoordelijkheid: Gedeeld

8.2: Bestanden die vooraf moeten worden geüpload naar niet-rekenresources

Richtlijnen: scan alle bestanden die worden geüpload naar uw AKS-resources vooraf. Gebruik de bedreigingsdetectie van Microsoft Defender for Cloud voor gegevensservices om malware te detecteren die is geüpload naar opslagaccounts als u een Azure Storage-account gebruikt als gegevensarchief of om de Terraform-status voor uw AKS-cluster bij te houden.

Verantwoordelijkheid: Klant

8.3: Zorg ervoor dat antimalwaresoftware en handtekeningen worden bijgewerkt

Richtlijnen: AKS beheert de levenscyclus en bewerkingen van agentknooppunten namens u. Het wijzigen van de IaaS-resources die zijn gekoppeld aan de agentknooppunten, wordt niet ondersteund. Voor Linux-knooppunten kunt u echter daemon-sets gebruiken om aangepaste software te installeren, zoals een antimalwareoplossing.

Verantwoordelijkheid: Gedeeld

Gegevensherstel

Zie de Azure Security Benchmark: Gegevensherstel voor meer informatie.

9.1: Regelmatige geautomatiseerde back-ups garanderen

Richtlijnen: Maak een back-up van uw gegevens met behulp van een geschikt hulpprogramma voor uw opslagtype, zoals Velero, waarmee een back-up kan worden gemaakt van permanente volumes, samen met aanvullende clusterbronnen en configuraties. Controleer regelmatig de integriteit en beveiliging van deze back-ups.

Verwijder de status van uw toepassingen vóór de back-up. In gevallen waarin dit niet kan worden gedaan, maakt u een back-up van de gegevens van permanente volumes en test u regelmatig de herstelbewerkingen om de gegevensintegriteit en de vereiste processen te controleren.

Verantwoordelijkheid: Klant

9.2: Volledige systeemback-ups uitvoeren en een back-up maken van door de klant beheerde sleutels

Richtlijnen: Maak een back-up van uw gegevens met behulp van een geschikt hulpprogramma voor uw opslagtype, zoals Velero, waarmee u een back-up kunt maken van permanente volumes, samen met aanvullende clusterbronnen en configuraties.

Voer regelmatig geautomatiseerde back-ups van Key Vault certificaten, sleutels, beheerde opslagaccounts en geheimen uit met PowerShell-opdrachten.

Verantwoordelijkheid: Klant

9.3: Alle back-ups valideren, inclusief door de klant beheerde sleutels

Richtlijnen: Gegevensherstel van inhoud in Velero Backup periodiek uitvoeren. Test indien nodig het herstellen naar een geïsoleerd virtueel netwerk.

Voer regelmatig gegevensherstel uit van Key Vault certificaten, sleutels, beheerde opslagaccounts en geheimen, met PowerShell-opdrachten.

Verantwoordelijkheid: Klant

9.4: Beveiliging van back-ups en door de klant beheerde sleutels garanderen

Richtlijnen: Maak een back-up van uw gegevens met behulp van een geschikt hulpprogramma voor uw opslagtype, zoals Velero, waarmee u een back-up kunt maken van permanente volumes, samen met aanvullende clusterbronnen en configuraties.

Schakel Soft-Delete in Key Vault in om sleutels te beveiligen tegen onbedoelde of schadelijke verwijdering als Azure Key Vault wordt gebruikt voor Azure Kubernetes Service (AKS)-implementaties.

Verantwoordelijkheid: Klant

Reageren op incidenten

Zie Azure Security Benchmark: respons op incidenten voor meer informatie.

10.1: Een handleiding voor het reageren op incidenten maken

Richtlijnen: Stel voor uw organisatie een responshandleiding op voor gebruik bij incidenten. Zorg ervoor dat er schriftelijke responsplannen zijn waarin alle rollen van het personeel worden gedefinieerd, evenals alle fasen in het afhandelen/managen van incidenten, vanaf de detectie van het incident tot een evaluatie ervan achteraf.

Verantwoordelijkheid: Klant

10.2: Een beoordelings- en prioriteitsprocedure voor incidenten maken

Richtlijnen: Prioriteit geven aan welke waarschuwingen eerst moeten worden onderzocht met de ernst van Microsoft Defender for Cloud toegewezen aan waarschuwingen. De ernst is gebaseerd op hoe zeker Microsoft Defender voor Cloud is bij het vinden of de analyse die wordt gebruikt om de waarschuwing uit te geven, evenals het betrouwbaarheidsniveau dat er schadelijke intenties waren achter de activiteit die tot de waarschuwing heeft geleid. Markeer duidelijk abonnementen (bijvoorbeeld productie, niet-productie) en maak een naamgevingssysteem om Azure-resources duidelijk te identificeren en te categoriseren.

Verantwoordelijkheid: Klant

10.3: Beveiligingsreactieprocedures testen

Richtlijnen: Voer oefeningen uit om de mogelijkheden voor incidentrespons van uw systemen regelmatig te testen. Identificeer zwakke punten en hiaten en pas waar nodig incidentresponsplannen aan.

Verantwoordelijkheid: Klant

10.4: Contactgegevens voor beveiligingsincidenten opgeven en waarschuwingsmeldingen configureren voor beveiligingsincidenten

Richtlijnen: Contactgegevens voor beveiligingsincidenten worden door Microsoft gebruikt om contact met u op te stellen als het Microsoft Security Response Center (MSRC) detecteert dat de gegevens van de klant zijn geopend door een onrechtmatige of onbevoegde partij.

Controleer incidenten na het feit om ervoor te zorgen dat problemen worden opgelost.

Verantwoordelijkheid: Klant

10.5: Beveiligingswaarschuwingen opnemen in uw incidentresponssysteem

Richtlijnen: Microsoft Defender voor Cloud-waarschuwingen en -aanbevelingen exporteren met behulp van de functie Continue export. Met continue export kunt u waarschuwingen en aanbevelingen handmatig of doorlopend exporteren.

Kies de Microsoft Defender voor Cloud-gegevensconnector om de waarschuwingen naar Microsoft Sentinel te streamen, afhankelijk van de behoeften van de organisatie en op basis van de bedrijfsvereisten van de organisatie.

Verantwoordelijkheid: Klant

10.6: Het antwoord op beveiligingswaarschuwingen automatiseren

Richtlijnen: Gebruik de functie Werkstroomautomatisering in Microsoft Defender voor Cloud om automatisch reacties te activeren via Logic Apps voor beveiligingswaarschuwingen en -aanbevelingen.

Verantwoordelijkheid: Klant

Penetratietests en Red Team-oefeningen

Zie de Azure Security Benchmark: Penetratietests en Red Team-oefeningen voor meer informatie.

11.1: Regelmatig penetratietests uitvoeren van uw Azure-resources en ervoor zorgen dat alle kritieke beveiligingsresultaten worden hersteld

Richtlijnen: Volg de Microsoft-regels voor betrokkenheid om ervoor te zorgen dat uw penetratietests niet in strijd zijn met het Microsoft-beleid. Aanvullende informatie over de strategie en uitvoering van Red Teaming en live site-penetratietests van Microsoft op basis van door Microsoft beheerde cloudinfrastructuur, -services en -toepassingen op de koppelingen waarnaar wordt verwezen.

Verantwoordelijkheid: Gedeeld

Volgende stappen